基于危險模式理論的新型ＮＩＤＳ模型

摘要：現有的基于免疫機制的NIDS模型有著諸多缺陷。針對這些缺陷，同時借鑒關于免疫識別的最新理論（危險模式理論），本文提出了一個新型的NIDS模型。其中，改變了自體庫的角色，以減輕檢測代理的負擔；引入了基于異常信號的免疫識別，降低了虛警率，同時增強了系統的適應性；提出了新的親和力算法，通過“關鍵基因片段控制串” 提高了識別的效率和準確率。

關鍵詞：網絡入侵檢測；免疫；危險模式理論；親和力計算

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)10-1pppp-0c

A New NIDS Model based on Dangerous Model Theory

YAN Yan

(Computer Teaching And Research Section，North Campus，Anyang Institute Of Technology，Anyang 455001，China)

Abstract:The NIDS models based on immunity have many deficiencies.For these deficiencies，a new NIDS model in which the new immune recognition theory (Dangerous Model Theory) was used has been put forward in this paper.In this model，role of the self library has been changed to release Detection Agents;Immune recognition mechanism based on abnormal signals has been introduced，the rate of mis-alarm was reduced and the adaptability was advanced; A new affinity algorithm has been put forward，efficiency and veracity has been advanced depend on \"key gene snippet control string\".

Key words: Network Intrusion Detection;Immunity;Dangerous Model Theory;Affinity algorithm

1 引言

入侵檢測系統（IDS， Intrusion Detection System）現已成為不可或缺的網絡安全基礎設施之一。當前投入實際應用的IDS大都基于特征庫和模式匹配，能夠準確檢測出所有的已知入侵。但這種傳統的入侵檢測方法存在著兩個致命的缺陷[1]：一是，隨著特征庫規模的不斷擴大，難以滿足對IDS的實時性要求；二是，智能性太低，無法應對日益復雜的網絡環境。于是，具備更高適應性和智能性的IDS已成為當前網絡安全界的研究熱點。

關于如何維護系統自身安全和穩定的問題，大自然已給了我們一個幾乎完美的例子——自然免疫系統（NIS）。NIS是一個自學習、自適應的“適應性系統”，能夠根據環境的變化，依靠眾多免疫成員的相互協作，通過各種免疫機制對自身進行調節，以維持機體的安全和穩定[2]。而IDS的研究目標也正是建立這樣一種高度自治的適應性系統。于是，許多學者投入到借鑒NIS構建IDS的研究之中。大部分相關研究傾向于完全模擬NIS的運行機制，如基因的高頻變異和隨機重組、自體耐受、親合力成熟等等。但這些機制的成功運作是建立在機體的高度并行處理能力基礎上的，并不適合在現有的計算機系統中模擬。而且，網絡系統的自體行為并不像機體那樣穩定[3]，而是隨著時間推移和用戶習慣的變化而動態變化。

關于免疫識別的機制，Matzinger提出了不同于傳統的Self/Nonself機制的危險模式理論 [4，5]，認為NIS是根據機體產生的各種危險信號而不是通過簡單的Self/Nonself方式來實現對病原體的識別。這為IDS的研究提供了新的啟示。

應用智能方法解決問題時，相關領域的先驗知識對問題的有效解決往往起著重要的作用[3]。經過入侵檢測技術多年來的發展，人們已建立了豐富的攻擊特征庫，而新的攻擊方法大都是現有攻擊的變種[1]，具有類似的特征。所以，應盡量將這些關于已知攻擊特征的先驗知識融入到對新型IDS的構建中。

本文沿襲了Kim提出的IDS模型[6]，借鑒危險理論的思想，構建了一個新型的NIDS——aiIDS。其中，改變了自體庫的角色，以減輕檢測代理的負擔；引入了基于異常信號的免疫識別，降低了虛警率，同時增強了系統的適應性；提出了新的親和力算法，通過“關鍵基因片段控制串” 提高了識別的效率和準確率。

2 aiIDS的總體設計

2.1 傳統的基于免疫機制的NIDS

由于NIS和IDS所面臨問題的天然相似性，近年來已有許多學者和機構投入到相關的研究中，并取得了一些成功。最具代表性的是S. Forrest、J. Kim、P. Bentley、D. Dasgupta等人的研究成果。這些成果大都傾向于完全模擬機體的免疫機制。但這些免疫機制的成功運作是建立在機體高度并行處理能力基礎上的，并不適合當前計算機的運算水平。為了提高檢測器的生成效率，人們提出了基因庫進化[7]的策略，將逝去的成熟檢測器的基因片段收入基因庫，通過變異和重組生成新的檢測器。但該策略仍然存在著盲目性的問題，幾個成熟檢測器的基因片段重組后仍是有效檢測器的概率很低；另外，攻擊行為一般只在一段時間內集中發生，那么，即使利用基因庫生成的檢測器是有效的，相應攻擊再次發生的概率一般也是很低的，因而檢測代理中的檢測器的使用率很低，不利于提高系統的適應性；而且，一個曾經有效的檢測器在一段時間后可能恢復為正常行為（這在當前的分布式攻擊中是很常見的），那么，基于基因庫生成的檢測器可能影響這些正常通信。

現有的識別算法也不適于入侵檢測問題。大多相關文獻將檢測器和抗原進行二進制編碼，利用各種親和力算法進行識別。常用的親和力算法有[8]：r-連續位匹配、歐氏距離、海明距離等。然而，對于不同的檢測器，其個基因片段的重要性是不同的。例如，對于Land攻擊，待檢流量的源IP和目的IP是否相同便成為確定流量是否為入侵行為的關鍵片斷，其他的屬性則無關緊要。許多文獻還提出了各種加權的親和力算法，但權值需要根據檢測器的不同及網絡的當前狀況動態變化，故這些算法仍未解決根本問題。

總結上面的分析，我們知道了當前基于免疫機制的IDS所存在的一些缺陷：（1）生成檢測器的有效率低，檢測代理的負荷較重，難以滿足實時性要求；（2）生成的檢測器不能反映網絡系統當前所處的狀況，適應性差；（3）現有識別算法無法準確高效的識別入侵行為。

2.2 aiIDS中引入的新型免疫算子

針對前面總結的缺陷，我們在aiIDS中引入了幾個新型的免疫算子，來克服這些缺陷。首先介紹aiIDS的總體架構（Figure 1）。aiIDS主要由三個部件組成：初級IDS、異常監視器和檢測代理。

(1)初級IDS（Primary IDS， PIDS)

不同于Kim的模型[6]，PIDS的主要作用不再是生成成熟的檢測器，PIDS維護著一個動態更新的自體庫，其中記錄著近期發生的正常流量。PIDS利用自體庫對待檢測流量進行過濾，而后交于檢測代理進行檢測。這樣做有兩個好處，一是減輕了檢測代理的負荷，提高了整個系統的實時性；二是在網絡系統受到DDoS攻擊時，在進行應急處理的同時不影響已知的正常服務。

(2)異常監視器（Abnormal Monitor）

異常監視器是系統的核心，是借鑒危險模式理論而引入的部件。負責對網絡中的流量進行統計分析，以一些事先定義的規則判斷是否出現異常。一方面將出現的異常以異常信號的形式送至檢測代理；另一方面將正常的網絡行為反饋至PIDS更新自體庫。這樣做降低了虛警率，同時提高了系統的適應性。異常監視器中統計項和異常規則都是根據關于攻擊特征的先驗知識選取和定義的。

(3)檢測代理（Detection Agent）

檢測代理是負責檢測的部件，接收PIDS發來的待檢流量，根據自身維護的檢測器集合以及來自異常監視器的異常信號來確定是否發生入侵。當有檢測器識別某一流量，但未出現相應的異常信號時，該檢測器將被刪除；而在檢測代理收到了異常信號，但沒有相應的檢測器時，會根據異常信號提供的信息自動生成相應的檢測器，我們稱此過程為疫苗的制作和注射。這樣，檢測代理中始終維護著一個足以應付當前環境的輕量級檢測器集合，使得檢測代理處于輕量級水平，提高了系統的實時性和適應性。也正是由于檢測代理的輕量級特點，我們可以以很小的代價增加檢測代理以提高系統的魯棒性。

在aiIDS中，我們引入了自體庫動態更新、待檢流量的否定選擇、基于異常信號協同刺激的免疫識別、疫苗的自動制作和注射以及根據先驗知識的異常統計分析等新型免疫算子。圖2顯示了aiIDS的詳細組成。

3 檢測器和異常信號的設計

3.1 檢測器的設計及新型親和力算法

NIDS主要負責對網絡中的流量進行實時的檢測，以發現針對各層網絡協議漏洞的入侵行為。簡單起見，我們把檢測對象限制在運輸層的流量。在運輸層，主要流量有三種：TCP、UDP和ICMP。為了提高檢測的效率和準確性，我們設計三種類型的檢測器。檢測器的結構應在能夠充分反應流量特異性的基礎上盡可能的簡單。于是，我們對三種檢測器的基因結構作如下設計（圖3）。

其中，src_ip和dst_ip分別為源IP和目的IP，src_port和dst_port分別為源端口號和目的端口號，type和code分別為ICMP報文的類型和代碼（ICMP包頭的字段）。mark的結構如圖4所示。

除了基因型外，檢測器還有生成時間、生存期、濃度以及指向處理函數的指針等結構成員。為了克服當前親和力算法的缺陷，我們在檢測器中加入了“關鍵基因片段控制串”?？刂拼械拿恳晃淮硪粋€基因片段，當某一位為1時，相應的基因片段即為關鍵基因片斷。識別時只進行關鍵基因片段的匹配。當檢測器中有不止一個關鍵基因片段時，這些基因位都需匹配，才能發生識別。

例如，對應于Land攻擊的檢測器基因片段LAND位對應的控制串位為1，在識別時，只需對該基因片段進行匹配即可。而在IPsweep攻擊對應的檢測器中，src_ip、type和code均為關鍵基因片斷，所以，在識別時這些基因片段都需匹配。

3.2 異常統計項的選取及異常信號的結構

aiIDS的成功運行依賴于準確的異常信號以及異常信號所反映的信息。根據現已掌握的攻擊特征，是可以選取一組能夠全面反映網絡狀況的統計項的。異常信號的結構分兩部分：異常信號類型和異常信號的特征描述串。下面選取3種常見的攻擊，舉例說明如何選取統計項和異常信號。

(1)IPsweep

攻擊者向子網中各可能的IP地址發送ICMP回顯請求，尋找網絡中的有效IP地址。當出現這種攻擊時，網絡中在短時間內會出現大量的來自同一源IP地址的ICMP回顯請求。于是，選取統計項same_src_ip（過去2s內源IP地址相同的數據報個數）。

相應的異常信號為{ICMP_TOOMANY_ECHO_REQ，”src_ip=x.x.x.x”}。

(2)smurf

攻擊者以目標機的IP為源IP向大量的網絡地址發送ICMP回顯請求，使得攻擊目標會因收到大量的ICMP回顯應答而無法正常工作。選取統計項same_dst_ip（過去2s內目的IP地址相同的數據包數目）。

相應的異常信號為{ICMP_TOOMANY_ECHO_REP，”dst_ip=x.x.x.x”}

(3)SYNflood

攻擊者利用大量的半連接來耗盡目標機的資源。目標機會在短時間內收到大量的SYN請求，可選取統計項same_srv_syn（過去2s內向相同服務的SYN請求）。

異常信號為{TCP_TOOMANY_ERRSYN，”dst_ip=x.x.x.x and dst_port=x”}。

4 總結與展望

本文通過對現有基于免疫機制的IDS的分析，指出了其中的缺陷。根據這些缺陷，借鑒最新的免疫識別理論，提出了一種新型的NIDS架構。該架構創新點有三：(1)改變了自體庫的作用，將否定選擇算法的對象改為待檢流量，從而極大減輕了檢測代理的負荷；(2)借鑒危險模式理論的思想，提出了基于危險信號的免疫識別，降低了虛警率，同時提高了系統對當前網絡環境的適應性；(3)在識別算法中引入了“關鍵基因片段控制串”，克服了現有親和力計算方法的缺陷，使識別的效率和準確率都得到了很大提升。這些改進使得基于免疫機制的IDS更加貼近實際應用。

在aiIDS中，異常監視器是核心部件，其性能關系到整個系統的實用性。如何更加有效地從關于攻擊特征的先驗知識中提取統計項，如何進行統計分析以及如何確定異常閾值是今后的研究重點。

參考文獻：

[1]羅守山.入侵檢測[M].北京:北京郵電大學出版社，2003.ISBN 7-5635-0649-7.

[2]L.Sompayrac. How the Immune System Works: 2nd Edition[M].Oxford: Blackwell Science Limited.ISBN: 0-632-04702-X，2003.

[3]焦李成，杜海峰.人工免疫系統進展與展望[J].電子學報，2003，31(10)1540-1548.

[4]P.Matzinger.The danger model in it s historical context[J].Scandinavian Journal of Immunology，2001(4):4-9.

[5]P.Matzinger.The danger model:A renewed sense of self[J].Science，2002，296:301-305.

[6]J.Kim，J.P.Bentley.The Artificial Immune Model for Network Intrusion Detection[C].7th European Conference on Intelligent Techniques and Soft Computing (EUFIT'99)， Aachen， Germany，1999.

[7]J.Kim， J.P.Bentley.A Model of Gene Library Evolution in the Dynamic Clonal Selection[C].In: Proceedings of the first International Conference on Artificial Immune Systems (ICARIS) Canterbury，2002:175-182.

[8]Stephanie Forrest，A.S.Perelson，L Allen， R Cherukuri.Self-Nonself Discrimination in a Computer[C].Proceedings of IEEE Symposium on Research in Security an Privacy，Oakland，1994.5.

收稿日期：2008-01-29